[English]Gerade bin ich durch eine Blog-Teilnehmerin auf ein Datenschutzproblem beim Vielfliegerprogramm Miles & More der Lufthansa aufmerksam gemacht worden. Bei den Miles&More-Konten hatte der Blog-Leser plötzlich Zugriff auf die Daten anderer Kunden. Ergänzung: Text um Informationen und Stellungnahmen von Lufthansa Miles & More ergänzt.
Anzeige
Blog-Leserin Daniela V. schickte mir eben eine Mail (danke dafür), in der sie auf einen dicken Klopper beim Miles&More-Programm aufmerksam machte. Dazu schrieb sie mir:
es gab gerade ein gewaltiges Problem bei Miles&More.
Ich wollte in meiner Kontoübersicht etwas nachsehen und muss dafür mein Passwort eingeben (bleibe immer temporär eingeloggt), angeblich war es aber bei Eingabe falsch.
Also hab ich mich nochmal komplett abgemeldet und neu angemeldet. Allerdings bin ich dann mit meinen Userdaten nicht mehr in meinem Konto gelandet, sondern bei jemand vollkommen Fremden.
Das Ganze hab ich noch 6-mal wiederholt und immer bin ich bei einem anderen M&M-Teilnehmer gelandet.
Von 6 der ungewollten "Fremdzugriffe" habe ich Screenshots gemacht.
Mir liegen diverse Screenshots betreffender Kontendaten, die beim Anmeldeversuch angezeigt wurden, vor. Hier ein erster Datensatz eines Kunden
(Miles&More-Konto 1, Zum Vergrößern klicken)
Hier der Screenshot eines zweiten Kontos, dessen Daten nach einer Anmeldung mit den Zugangsdaten von Daniela eingeblendet wurden.
Anzeige
(Miles&More-Konto 2, Zum Vergrößern klicken)
Daniela V. hat dies mehrfach versucht und kam jedes Mal auf einen Datensatz eines fremden Kontos, nicht aber auf ihre eigenen Daten. Sie schrieb mir dazu, dass sie in der Facebook-Gruppe von Miles & More nachgefragt habe und dort Bestätigungen anderer Betroffener erhalten habe.
Hatte jetzt zwischenzeitlich in der M&M Facebook-Gruppe mal gefragt, ob das auch jemand hat. Es kamen jetzt einige Rückmeldungen mit dem gleichen Problem.
Kurz danach ist der Login im Portal übrigens nicht mehr möglich gewesen.
Ich frage mich natürlich, was da schief gelaufen ist und ob da jemand nicht auch Unsinn mit solchen Daten treiben kann bzw. ob es ein Fall für die DSGVO ist?
Bezüglich der Frage 'was schief gelaufen ist' hege ich den Verdacht, dass da eine Indexierung einer Datenbank möglicherweise in den Wald gelaufen ist. Ob das ein Fall für die DSGVO ist?
Ich denke ja, denn es war ja Benutzern an Hand ihrer Zugangsdaten möglich, auf die persönlichen Daten anderer Konten zuzugreifen – es sei denn, es hätte sich um Testdaten in der Datenbank gehandelt (was ich nicht glaube).
Weitere Fundstellen und Schlenker
Im Nachgang schrieb mir Daniela, dass der Login gesperrt, dann hätte er für kurze Zeit wieder funktioniert. Die erste Anmeldung zeigte dann die eigenen Daten. Nach einem weiteren Anmeldeversuch wurden erneut fremde Daten gezeigt. Daniela schreibt mit Recht:
Zwischenzeitlich ging übrigens der Login mal kurz wieder. Beim zweiten Versuch war ich tatsächlich in meinem Account. Zum Abklären hab ich es ein drittes Mal probiert und auch da war ich wie beim ersten mal falsch.
Ich halte das schon für sehr bedenklich, gerade auch Sicht eines IT-lers.
Ich hoffe, dass es da irgendwelche Konsequenzen gibt, man hätte wer weiß was mit den Meilen anstellen können und ich hab da nicht im Kopf, wie weit das bezüglich Daten gehen würde (verbundene Kreditkarte, Bankverbindung, Adressdaten).
Da ist was gehörig schief gelaufen. Es sind wohl eine Menge Leute betroffen – manche haben es möglicherweise nicht bemerkt, weil sie sich nicht eingeloggt haben. Bei einer schnelle Suche im Web bin ich auf den folgenden Tweet mit der Bestätigung gestoßen.
Läuft mal wieder bei der Lufthansa. Beim Login über die Miles&More-Website erhielt man eben Zugriff auf beliebige fremde Nutzeraccounts und konnte dort alle Daten einsehen. ♂️
Wird mal Zeit für ne ordentliche DSGVO-Strafe…https://t.co/Kz6ZHQTeHO
— Peer Linder (@delpiero223) December 9, 2019
Und ich haben diesen Beitrag im Vielflieger-Treff gefunden. Auch dort diskutieren Betroffene das Gleiche – ein Benutzer konnte auf Daten eines anderen Lufthansa-Kunden aus Polen zugreifen. Seit ca. 16:00 Uhr scheint die Anmeldung am Konto gesperrt zu sein. Ich denke, die Empfehlung, sofort alles auf Änderungen zu kontrollieren und die Zugangsdaten zu wechseln, sobald die Anmeldung wieder funktioniert, kann man nur unterstreichen. Denn theoretisch könnte jemand die Daten (PIN, E-Mail-Konto etc.) eines fremden Kontos geändert haben. Mal schauen, was noch ruchbar wird.
Ergänzung: Inzwischen hat Der Standard diesen Artikel zum Sachverhalt veröffentlicht (auch Kunden von Austrian Airlines waren betroffen). Auf Aero Telegraph wird berichtet, dass Nutzer Manipulationen ihrer Konten reklamierten – wie stichhaltig das ist, weiß ich nicht. Ein weiterer Bericht findet sich hier. Ich habe die Lufthansa mal um eine Stellungnahme gebeten.
Bei der Nachrecherche bin ich übrigens auf diesen Artikel gestoßen. Hacker hatten wohl Kunden des Miles and More-Programms gehackt und deren Bonusmeilen abgebucht. Ursache war wohl ein Datenleck, welches Miles & More gemäß dem verlinkten Artikel gegenüber der Betroffenen sogar per E-Mail im Juni 2019 eingeräumt habe. Und ganz aktuell haben die Kollegen von heise diesen Artikel im Angebot. Der Internet-Anbieter 1&1 muss wegen eines DSGVO-Verstoßes knapp 10 Millionen Euro zahlen.
Benachrichtigung der Mail&More-Kunden
Ergänzung 2: Eine Betroffene hat mir die nachfolgende Mail zukommen lassen, in der die Lufthansa Details nennt (danke für die Info).
Stellungnahme der Lufthansa/Mail&More GmbH
Ergänzung 3: Ich hatte nach Bekanntwerden des Vorfalls die Lufthansa Presseabteilung um eine Stellungnahme gebeten. Diese liegt mir seit dem 11. Dezember 2019, 15:33 Uhr, vor. Hier die betreffenden Informationen mit Antworten auf meine Fragen:
Wie viele Kunden waren davon betroffen?
Insgesamt wurden im genannten Zeitraum Daten von 9.885 Miles & More Konten abgerufen und auf der Webseite angezeigt. Die Daten dieser Konten wurden teilweise dem Inhaber des Kontos angezeigt, teilweise anderen, zeitgleich eingeloggten Teilnehmern.
4.100 Teilnehmer haben sich in dem Zeitraum aktiv eingeloggt, teils mehrfach. Bei den zusätzlichen Konten handelte es sich um solche von dauerhaft eingeloggten Teilnehmern. Die somit maximal betroffenen 9.885 Teilnehmer wurden von Miles & More über den Vorfall informiert.
Welche Daten waren einseh- oder gar änderbar?
Konkret waren folgende Daten potentiell einsehbar: Name, Servicekartennummer, Geburtsdatum, Adresse, Email, Telefonnummer, Benutzername, Meilenstand, Transaktionsdaten, Reisepräferenzen (Abflughafen und Automatischer Check-In), Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung.
Die Daten von Bankkonten und Kreditkarten waren nicht einsehbar. Bei den Kreditkarten wurden lediglich die letzten 4 Stellen angezeigt. Dies ist für einen Kartenmissbrauch völlig unbrauchbar. Das Gleiche gilt für die Kontonummern, wo ebenfalls nur die letzten 4 IBAN Stellen sichtbar waren.
Für potentielle Änderungen wird zudem ein gesondertes Passwort/PIN benötigt. Entsprechend waren keine Zugriffe auf Bankkonten oder Kreditkarten möglich.
Wie lange dauerte die 'IT-Störung'?
Das Problem bestand lediglich am 9. Dezember im Zeitraum von 16:00 bis 16:40 Uhr.
Sind Ursachen bekannt?
Um 16:40 Uhr wurde die Login-Funktion deaktiviert und damit die Störung abgestellt. Somit waren keine Zugriffe auf Teilnehmer-Konten mehr möglich. Miles & More Teilnehmer, die in dem Zeitraum von 16:00 bis 16:40 Uhr nicht auf der Miles & More Website eingeloggt waren, sind von dem Vorfall nicht betroffen. Das gilt auch für andere Systeme außerhalb der Miles & More Website (z.B. Miles & More App oder LH.com), d.h. die sind ebenfalls nicht betroffen.
Die Miles & More IT arbeitet mit Hochdruck an der Fehleranalyse und führt umfangreiche Tests durch. Wir bitten unsere Teilnehmer weiterhin um Geduld. Die Login-Funktion wird fortlaufend intensiv überwacht und nach der Fehlerbehebung stufenweise freigeschaltet. Für einen Hackerangriff gibt es aktuell keine Anzeichen.
Wer wurde über die Störung informiert?
Miles & More hat schnellstmöglich reagiert und zu dem Login-Problem auf miles-and-more.com hingewiesen. Zudem wurden die Servicecenter über den Vorfall informiert. Die betroffenen Teilnehmer wurden ebenfalls von Miles & More über den Vorfall informiert.
Ergänzung: Inzwischen weiß ich auch, dass Miles & More mit den zuständigen Datenaufsichtsbehörden in Kontakt steht. Eine datenschutzrechtliche Bewertung steht aber wohl noch aus.
Anzeige